31 octubre 2023

Recursos en la Red TOR I

Cuando ya no sepa de qué lado debe estar, y tenga ideas contradictorias, y créame ése momento llegará, será el momento en que deba pararse. Y no sabrá de qué lado debe estar, porque son las ratas las que se han apoderado del barco.
John Le Carré
Creo que ya sabes que los sitios cuya dirección termina en .onion no son simples y no se pueden abrir en un navegador normal sin un esfuerzo adicional. La llamada DeepWeb (Web Profunda) está formada por sitios como estos. Muchas veces se dedican al comercio de bienes y servicios ilegales. Por supuesto, los administradores de estos sitios no tienen que completar su información de contacto al registrarse, no hay censura y el enrutamiento "onion (cebolla)" a través de una serie de servidores proxy debería garantizar el (pseudo)anonimato.
Los sitios de la Red Tor (TheOnionRouter https://torproject.org/) no están indexados por los motores de búsqueda habituales, pero existen motores de búsqueda especializados que buscan únicamente en Tor. En general, como comprenderá, este es un mundo completamente separado.

¿CÓMO FUNCIONA LA RED TOR?
Con el enrutamiento IP directo normal, todo es relativamente simple: un nodo realiza una solicitud a alguna dirección, el otro responde a la misma dirección de donde proviene la solicitud. En el enrutamiento onion (cebolla), cualquier solicitud pasa primero por tres nodos llamados nodos Tor. De forma predeterminada, los nodos de entrada y salida cifran la información para que pase por el siguiente nodo.

¿Protección ideal contra la vigilancia? No precisamente. En teoría, cualquiera puede convertir su computadora en un nodo mediador y recopilar datos sobre las solicitudes. Te preguntarás, ¿quién necesita esto si la información está cifrada? ¿Qué pasa si el atacante recopila parte de la información antes del cifrado e infecta el nodo de entrada? ¿O viceversa: una salida libre y recibir datos sobre los recursos solicitados? Es la segunda opción la más común.

Además, un atacante puede modificar o cambiar por completo la información transmitida desde el servidor al cliente. Esto puede incluso infectar el dispositivo del cliente con código malicioso.

En 2020 se descubrió el grupo de hackers KAX17, que controlaba 900 servidores infectados, a los que accedían hasta el 16% de los usuarios de Tor.

Aquí hay algunas herramientas que lo ayudarán a explorar los nodos Tor:


Al igual que en Internet normal, los sitios en Tor pueden recibir información del cliente sobre la resolución de la pantalla, la cantidad de núcleos de la computadora y otros parámetros, que en conjunto pueden formar una huella digital única.

Por eso los expertos aconsejan no habilitar JavaScript en los sitios de la DarkNet (Red Obscura), o al menos no utilizar el navegador en modo de pantalla completa, para no revelar el tamaño de la pantalla. Una huella digital, por supuesto, no da tanto miedo como los datos personales reales, pero permite distinguir a un visitante único de un número determinado de visitantes.

DNS ONION (CEBOLLA)
La Inteligencia a través de Whois y servicios como DNSdumpster en la red Tor es simplemente imposible, porque el sistema de dominio onion funciona de manera completamente diferente a uno normal. Estas son sus principales diferencias:

Solo existe una única zona de dominio .onion; los dominios constan de identificadores generados, por lo que, en principio, no existe una estructura jerárquica con TLD, SLD y subdominios.
El almacenamiento descentralizado es el principal problema para el recopilador de información, porque imposibilita el envío de una solicitud Whois. En el DNS clásico, la información sobre los dominios y sus correspondientes direcciones IP se almacena en servidores DNS centralizados. En Tor, la información sobre los dominios .onion y sus direcciones se almacena en nodos distribuidos en la red Tor.
Los protocolos también difieren. Mientras que el DNS clásico utiliza consultas UDP y consultas TCP, Tor DNS accede directamente a los nodos de almacenamiento distribuido para obtener la dirección deseada.

TorWhois (https://torwhois.com/) es algo así como un servicio Whois para Tor. Te permite obtener información sobre puertos abiertos, certificados, claves e información sobre robots.txt.

Existe un estudio (https://nymity.ch/tor-dns/) que demostró que el tráfico DNS en la red Tor se puede utilizar para determinar con precisión qué sitios se visitan. Los investigadores utilizaron diferentes métodos para analizar las solicitudes de DNS que pasan a través de los nodos de salida de Tor y descubrir las correlaciones de estas solicitudes con sitios específicos.

Simplemente puede buscar dominios en las consultas. Debido a que los dominios en las direcciones .onion se componen de identificadores generados, se pueden comparar fácilmente con los identificadores en las consultas DNS y compararlos. Esto le permite determinar qué sitios específicos visitó el usuario a través de Tor.

En casos excepcionales, los administradores no eliminan los metadatos de los archivos publicados en el sitio, y los metadatos pueden incluir información como el modelo de la cámara, el nombre, la geolocalización y mucho más. Ahora incluso las redes sociales habituales eliminan metadatos al cargar archivos.

ESTRUCTURA DEL SITIO
Los sitios en Tor utilizan CMS ordinario, al igual que los sitios en Clearnet. Por supuesto, en su interior se encuentran los mismos HTML, CSS y otras tecnologías familiares. Es decir, aquí no hay nada sorprendente ni nuevo. En la captura de pantalla puedes ver que el autor del sitio lo creó usando Bootstrap. Y el uso de tecnologías populares, por supuesto, abre la posibilidad de automatizar auditorías con fines de inteligencia. Para esto existe:

  • Onionscan (auditoría del sitio de onion);
  • Onion Nmap (Nmap para sitio onion);
  • OWASP ZAP (escáner);
  • Nikto (escáner);
  • WPScan (escáner);
  • Suite Burp (escáner);
  • Wapití (escáner);
  • lista de vulnerabilidades en Mitre.org (https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=tor).

Que te diviertas!

No hay comentarios:

Publicar un comentario